OWASP TOP 10 是什么

OWASP TOP 10是指开放式Web应用程序安全项目（OWASP Top 10）中列出的最关键的十大安全风险。这些安全风险包括但不限于注入攻击、失效的身份验证和会话管理、敏感信息泄露、XML外部实体注入攻击（XXE）、存取控制中断、安全性错误配置、跨站脚本攻击（XSS）、不安全的反序列化、使用具有已知漏洞的组件以及日志记录和监控不足。这些都是Web应用程序中最常见的安全风险，OWASP TOP 10代表了对于Web应用程序安全性的广泛共识。

OWASP的全称是Open Web Application Security Project。OWASP是开放式Web应用程序安全项目，它是一个非营利基金会，其唯一宗旨是通过为社区提供工具和知识来提高软件安全性。由于它是一个非营利组织，它的所有资源（包括文章、方法、文档、工具和技术）都是免费提供的，任何有兴趣保证其Web应用程序安全的人员都可以对其轻松访问。在设计、开发、采⽤和维护过程中提⾼应⽤程序安全性，以防⽌Web应⽤程序被⿊客攻击。OWASP创建了⼀系列标准、⽅法论和⼯具，以帮助开发⼈员和安全专家更好地理解和处理Web应⽤程序安全问题。并为所有⼈免费提供有关Web应⽤程序安全的知识和⼯具。

OWASP TOP 10 是由OWASP发布的常⻅Web应⽤程序安全⻛险列表。该列表列出了当前最普遍、最重要的Web应⽤程序漏洞，它们可能被攻击者利⽤来⼊侵或破坏Web应⽤程序。

API已经成为了各种应⽤程序的重要组成部分，同时也成为了⿊客攻击的新⽬标。近年来，API攻击呈现出明显的上升趋势，尤其是针对⾦融、电⼦商务、医疗保健等领域的应⽤程序。攻击者可以通过API暴露的漏洞或者安全弱点，轻易地获取⽤户信息、业务逻辑或者系统访问权限，从⽽给企业和⽤户带来极⼤的损失。

为了彰显API安全的重要性和独特性，OWASP在2019针对API安全⾸次发布了OWASP API TOP 10，也就是API安全性的⼗⼤⻛险清单。旨在帮助开发⼈员和安全专家更好地了解和处理API应⽤程序中存在的安全漏洞和攻击，从⽽提⾼API应⽤程序的安全性。

随着API发展以及API安全⾯临威胁的更新，OWASP在2023年发布最新的OWASP API TOP 10内容。对⽐2019版本更加凸显了API安全的独特性，与WEB安全的差异性，在安全测试⽅法论，安全⻛险评估，技术与协议⽀持，认证和授权，安全测试⼯具，安全⽂档和参考资料等⽅⾯都做了⼤量的更新。

2019 VS 2023 变化对⽐

OWASP API TOP 10 版本内容进⼀步突出了API安全场景的独特性，凸显API在资产、认证、权限、业务、合规、使⽤、第三⽅供应链的安全问题。

TOP 10内容做了如下更新：

API 1：对象级别授权失效（无变化）

对象级别授权失效在2019和2023版本中都位列第一，是当前API面临的最常见且危害最大的安全风险。在渗透测试攻防对抗中，水平越权的这种安全漏洞经常出现。

API 2：认证失效（有所更新）

从2019 API的“用户认证失效”更新为2023 API的“认证失效”，它更侧重于API身份的验证和校验。安全风险的场景定义更加丰富和清晰，安全预防方案也更加健全，涵盖的范围更广。它不仅包括之前的用户身份的校验，只要是API身份的校验都包含在内。它涵盖的场景不仅包括客户端对服务端的，还包含服务端到服务端的。当API应用程序的安全机制无法检测到身份绕过、伪造导致验证失效等行为时，便会造成严重的安全漏洞。

API2：2019用户认证失效指的是攻击者可以利用弱密码、会话固定、跨站请求伪造（CSRF）等方式来绕过应用程序的身份验证和访问控制机制，并以未经授权的身份访问敏感数据或执行操作。这个漏洞主要集中在用户身份验证方面。

相比之下，API2：2023认证失效涵盖了更广泛身份验证问题。此类漏洞通常涉及到逻辑错误，例如凭据重用、不安全的默认配置、缺乏多因素身份验证等。攻击者可能会利用这些漏洞来获取管理员权限、窃取用户数据或直接控制受影响的系统。因此，API2：2019用户认证失效可以被看作是API2：2023认证失效的一个子集，其覆盖范围更广，且包括许多其他类型的身份验证漏洞。

API 3：对象属性级别授权失效（合并）

在2019年版OWASP API TOP 10中，API3指的是过度数据暴露，而API6指的是批量分配。在2023年版本的OWASP API TOP 10中，这两个问题被合并为API3对象属性级别授权失效。

API3：2019过度数据暴露涉及API在返回响应时，未正确限制或保护敏感数据的访问，导致攻击者可以获取到用户的敏感数据，例如：密码、令牌、会话ID等，并利用这些信息发动进一步攻击。

API6：2019批量分配是指攻击者将多个参数一次性传递给应用程序，以试图在不受控制的情况下修改或创建对象。这种攻击可能会导致安全漏洞，因为应用程序可能会接受并使用未经验证的输入，从而允许攻击者通过修改或创建对象来获得未经授权的访问权限。

而API3：2023对象属性级别授权失效的定义为：应用程序在处理用户请求时未正确实施对象属性级别授权，导致攻击者能够访问和修改他们没有权限访问或修改的对象属性。这种安全漏洞可能会导致敏感数据泄露、身份验证绕过、越权访问等问题。这个新漏洞相当于是2019 API3和API6两个风险组合利用所产生的危害的一部分。

API 4：未受限制的资源消耗（Updated）

API4：2019年的资源不足和速率限制问题已更新为2023年的未受限制的资源消耗。这两个API安全风险都涉及到API资源利用限制的问题，但存在一定的区别。

API4：2019年指的是API资源不足的问题，即API需要处理过多的请求或请求速度过快，导致API无法提供足够的资源来满足所有请求。攻击者可以利用这个漏洞来发起拒绝服务攻击，使API停止响应合法用户的请求。

而API4：2023年是指API的资源消耗或负载大小未受限制，攻击者可以通过发送特殊的恶意请求来耗尽API的资源。攻击者可能使用大量的并发或长时间运行的请求来占用API的资源，导致API无法响应合法用户的请求。API4：2023年是API4：2019年的进一步增强，更加强调资源限制策略的实施，以防止未受控制的资源消耗对应用程序或API的影响。

API 5：功能级别授权失效（无变化）

功能级别的授权失效在2019年和2023年版本中的定义和排名都没有变化，这显示了该风险在API场景中的危害之大和影响范围之广。这个安全风险类似于在渗透测试攻防对抗中常见的垂直越权安全漏洞。

API 6：不受限访问敏感业务（New）

在2019版本中，API6是批量分配，而在新版本中，2019年的API6已合并到2023年的API3中，成为对象属性级别授权失效。而2023 API 6新增为不受限访问敏感业务。

不受限访问敏感业务是2023年中新增的一项安全风险。这主要指的是敏感业务接口没有做合理的限制或配置，导致可以通过自动化工具或脚本实现不受限制的批量查询或获取敏感数据。这个风险与API4未受限制的资源消耗有些类似，但主要侧重于通过自动化工具无限制访问敏感业务并获取相关的敏感信息，例如购买机票或发表评论业务的接口。

从这些变化可以看出，OWASP进一步强调了API安全场景的独特性，以区别于传统的WEB场景。随着API传递数据量的迅速增加，利用自动化工具进行API攻击成为一种提高效率和质量的不错选择。随着人工智能、机器学习、大数据技术、人机学习等技术的发展，模拟人工操作的自动化攻击手段在API攻击中变得越来越普遍。

在当前的API攻击中，自动化攻击如影随形，使得API漏洞变得更加有利可图，并且这类攻击更智能且更难防范。API常常被用作它们的攻击目标。随着时间的推移，传统的保护措施（例如速率限制和验证码）可能变得不那么有效。例如，操纵僵尸网络的攻击者可以绕过速率限制，因为他们可以在几秒钟内从全球数千个位置/IP地址轻松访问API。

API 7 服务器端请求伪造（SSRF）（新增）

在2019版本中，API 7是安全配置错误，然而在2023年新版本中，API 7被新增的服务器端请求伪造（SSRF）所取代。安全配置错误在新版本中并未被取消，而是排名降到了API 8，仍旧占据一席之地。

作为在API:2023中新增的安全风险，服务器端请求伪造（SSRF）在2021年的OWASP Web TOP 10应用程序漏洞中就已经榜上有名。此次它也被包含在最新的OWASP API TOP 10 2023列表中，由此可见该漏洞的重要性。这表明更多的API可能比注入攻击更容易受到SSRF的威胁。

API 8 错误的安全配置（排名下降）

在2019版本中，API 8是输入型注入相关的安全风险，然而随着API的发展以及安全意识、措施、安全开发和安全防护的加强，此类安全风险在API场景中越来越少，风险也相对降低。因此在2023年新版本中，它被直接剔除，并未包含在TOP10中。相应的，它在2023年的版本中成为API 8错误的安全配置，排名下降一名。

API 9 存量资产管理不当（更新）

API:2019的资产管理不当更新为API:2023的存量资产管理不当。这两个风险都与资产管理有关，但API2023更侧重于对过时的历史API资产、淘汰的API资产，未进行测试的API资产，未打补丁的API资产，未做部署记录的API资产，以及跟第三方系统进行数据共享的API资产的管理不当。对这些资产缺乏系统性的记录和管理容易导致各种安全漏洞的出现。

API 10 API的不安全使用（新增）

删除了2019版本中的API 10 日志与监控不足，新增了API 10 API的不安全使用。这个主要侧重于API在使用中的一些安全风险，例如不验证即信任并使用来自供应链的第三方API；在未加密的通道与其他API进行交互；处理数据或将其传递给下游组件之前，没有正确验证和清理从其他API收集的数据；不限制可用于处理第三方服务响应的资源数量；不为与第三方服务的交互设置超时等。

上海云盾专注于提供新一代安全产品和服务，以纵深安全加速，护航数字业务的产品服务理念，替身和隐身的攻防思想，运用大数据、AI、零信任技术架构和健壮的全球网络资源，一站式解决数字业务的应用漏洞、黑客渗透、爬虫Bot、DDoS等安全威胁，满足合规要求，提高用户体验。其中Web安全加速产品，是一款专注保护游戏、电商、金融、医疗、门户等行业网站/APP/API业务免遭Web攻击、漏洞利用、系统入侵、内容篡改、后门、CC和DDoS攻击威胁的安全防护产品，支持HTTP、HTTPS和WebSocket协议，在抵御各类攻击的同时，保障网站业务的快速稳定访问。

例如，内容安全。过滤和替换应用系统中的敏感信息，支持定制专属敏感词库，避免因敏感信息导致业务系统被关停的风险。

例如，访客鉴权。通过算法签名对请求进行校验，可识别针对应用的各种CC攻击，适用于APP和API场景。

例如，智能调度。YUNDUN智能调度系统根据业务系统访客分布、全局边缘节点质量、源站线路、运营商分布、攻击数据等信息，解析就近最优线路节点， 兼顾安全和加速能力。